La perdita del gruppo Conti Ransomware si espande

Qualche giorno fa abbiamo coperto la fuga di notizie della comunicazione personale tra i membri della banda di ransomware Conti. L'incidente originale è stato stimolato dalla banda di Conti che ha pubblicato un veemente post filo-russo sul loro sito e ha dichiarato il proprio sostegno incrollabile alla Russia nell'invasione ucraina in corso. Ora la stessa persona che ha avviato la fuga iniziale ha fornito molte più informazioni, incluso uno strumento di decrittazione e codice sorgente per strumenti dannosi.

La perdita di Conti si espande con nuove informazioni, codice sorgente

Un membro ucraino della banda di ransomware Conti si è fatto avanti alcuni giorni fa, scontento della posizione ufficiale del gruppo sulla guerra in Ucraina, e ha fatto trapelare molte pagine di comunicazioni in formato .json tra i membri del gruppo di ransomware. Insieme alla discarica iniziale, lo stesso membro ha promesso che ne sarebbero arrivate altre e ha mantenuto la sua promessa.

Le nuove perdite vengono pubblicate tramite vx-underground, un portale che raccoglie codice sorgente, campioni e informazioni sul malware. Il secondo dump di informazioni di Conti trapelato e dei file correlati include il codice del pannello di amministrazione della piattaforma utilizzata da Conti. Una rapida occhiata indica che il pannello di amministrazione si basa su una soluzione open source.

Ci sono anche numerose nuove informazioni sulle tattiche, le tecniche e le procedure del gruppo, comprese le informazioni sull'enumerazione di Active Directory, la creazione di dump NTDS tramite Vssadmin e i dettagli sull'utilizzo di strumenti tra cui Cobalt Strike, ShareFinder e AnyDesk.

Nella fuga di notizie erano contenuti anche il codice sorgente del ransomware Conti v2 e del suo decryptor. Nonostante ciò, i ricercatori hanno ribadito che questa non è la versione più recente del toolkit ransomware e il decryptor non sarà utile alle vittime che sono state recentemente infettate da Conti.

Decryptor non utile per le vittime attuali

Nel dump di Conti trapelato sono inclusi anche tutorial video registrati in russo, che istruiscono aspiranti membri e affiliati su varie tecniche come l'uso di Cobalt Strike, l'uso di PowerShell per i test di penetrazione e le applicazioni di reverse engineering.

Una sfilza di informazioni su TrickBot è inclusa anche nella seconda perdita di informazioni di Conti. Ciò include non solo un codice sorgente di una versione di TrickBot, ma anche informazioni sui metodi utilizzati quando si utilizza il malware e le specifiche e il know-how condiviso tra i membri della gang.

Nonostante l'abbondanza di informazioni, Threatpost ha citato un ricercatore di sicurezza con Advanced Intelligence, che ha affermato che la fuga di notizie non avrebbe avuto un impatto sul gruppo Conti tanto quanto alcuni potrebbero sperare. L'informazione trapelata riguardava solo uno dei sei corpi di persone all'interno della banda e non era quello centrale e più importante. Secondo quanto riferito, anche la banda di ransomware ha rilanciato le sue operazioni e sta andando avanti.